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格 上 具有 完全 前 向 安全 的 0 轮 往返 时 间 密 钥 交 换 协 议 
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摘 要 : 0-RTT 密 钥 交换 协议 ， 人 允许 客户 端 在 零 往 返 时 间 发 送 加 密 保 护 的 有 效 载 荷 和 第 一 条 密 钥 交 换 协 议 消息 ， 有 具 
有 非 交 互 、 可 离线 等 优点 。 为 了 降低 密 钥 交换 往返 时 间 ， 基 于 穿 透 加 密 思 想 提出 一 种 格 上 0-RTT 密 钥 交换 协议 ， 首 
先 利 用 一 次 性 签名 算法 和 分 级 身份 基 密 钥 封 装机 制 构造 可 穿 透 前 向 保密 密 钥 封 装 方案 ， 然 后 使 用 可 穿 透 前 向 保密 密 
钥 封 装 方案 设计 0-RTT 密 钥 交 换 协 议 。 协 议 只 需 客户 端 对 服务 器 进行 单 向 认证 ， 并 且 能 够 有 效 抵抗 量子 攻击 和 重 放 
攻击 。 与 同类 协议 相 比 ， 所 提 协 议 具 有 可 穿 透 的 完全 前 向 安全 ， 减 少 了 通信 轮 数 ， 提 高 了 通信 效率 。 
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Zero round trip time key exchange protocol with full forward secrecy on lattice 


Zhao Zongqu Ma Shaoti, Tang Yongli, Ye Qing’ 
(College of Computer Science & Technology, Henan Polytechnic University, Jiaozuo Henan 454000, China) 


Abstract: 0-RTT key exchange protocol allows clients to send encrypted protected payloads and the first key exchange 
protocol message at zero round-trip time, which has the advantages of non-interactive and off-line. In order to reduce the 
round-trip time of key exchange, this paper proposed a 0-RIT key exchange protocol on lattice based on the idea of penetrating 
encryption. Firstly, it utilized the one-time signatures algorithm and the hierarchical identity-based key encapsulation 
mechanism to construct penetrable forward secret key encapsulation scheme, and then used the penetrable forward secret key 
encapsulation scheme to design a 0-RTT key exchange protocol. The protocol only required the client side to authenticate the 
server one-way, and could effectively resist the quantum attack and replay attack. Compared with similar protocols, the 
proposed protocol has penetrable full forward secrecy, reduces the number of communication rounds and improves the 
communication efficiency. 


Key words: lattice; key exchange; zero round-trip time(0-RTT); forward secrecy 


0 ”引言 如 果 网 站 以 前 被 客户 端 连接 过 , 则 TLS 握手 的 往返 时 长 为 零 。 
3 作为 高 性 能 AKE 协议 的 HMQVI7 在 协商 会 话 密 钥 时 也 需要 
认证 密 钥 交 换 (authenticated key exchange，AKE) 协 议 是 至 少 发 送 两 条 消息 ( 即 1-RTT)。 


(an 实体 进行 安全 通信 的 前 提 ， 人 允许 通信 双方 在 公开 的 信道 上 建 将 密 钥 交换 协议 的 延迟 开销 降低 到 零 往 返 时 间 (0-RIT)， 
人 立 一 个 共享 的 高 粹 会 话 密 钥 ,并 用 这 个 会 话 密 钥 进行 加 密 消 同时 保持 严格 的 安全 保证 已 成 为 学 术 界 和 工业 界 的 一 个 主要 
息 、 认 证 和 完整 性 校 验 等 工作 。1976 年 ，Diffie 和 Hellmanl1l 设计 目标 。 从 实用 的 角度 来 看 ， 谷 歌 的 QUIC 协议 名 不 仅 把 


基于 离散 对 数 困 难 问题 设计 了 第 一 个 密 钥 交 换 协 议 ， 简 称 为 延迟 开销 降 到 了 零 往 返 时 间 ， 而 且 已 经 在 Google Chrome 和 
“DH 协议 ”%” 这 一 开创 性 的 研究 成 果 加 速 了 密 钥 交换 协议 领 。” Opera Web 浏览 器 中 得 到 应 用 ,并 在 2015 年 由 Google 向 IETF 
域 的 发 展 。 由 于 DH 协议 是 被 动 安全 的 密 钥 交 换 协 议 ， 无 法 提议 作为 IETF 标准 。 
抵抗 主动 攻击 , 存在 会 话 密 钥 泄 露 的 风险 , 因此 许多 基于 DH 2017 年 ，Giinther, Hale, Jager 和 Lauer[GHJL17] 中 提出 了 
受 设 忆 9 的 密 钥 交换 协议 通过 交换 密 钥 的 部 分 元 素 或 加 入 身 基于 穿 透 加 密 且 具有 完全 前 向 安全 的 0-RTT 密 钥 交换 协议 ， 
份 信息 来 抵御 主动 攻击 。 该 协议 是 在 Canetti,Halevi 和 Katz09 的 前 向 安全 公 钥 加 密 和 
像 TLS 这 样 的 经 典 AKE 协议 在 传输 第 一 个 有 效 的 实际 Green 等 上 的 前 向 保密 穿 透 公 钥 加 密 的 工作 基础 上 构建 得 到 
数据 消息 之 前 需要 交换 大 量 协议 信息 协商 共享 的 会 话 密 铀 ， 的 。GHJL17B] 方 案 通过 一 次 性 签名 技术 和 Blazy 等 上 的 身份 
羽 此 会 产生 相当 大 的 延迟 开销 。 延 迟 通常 是 以 往返 时 间 (RTT) 基 分 级 密 钥 封装 机 制 构建 的 可 穿 透 前 向 保密 密 钥 封装 机 制 来 
来 衡量 的 ， 在 发 送 第 一 个 实际 数据 之 前 ， 必 须 进行 N 轮 往返 实现 前 向 保密 一 次 通过 密 钥 交换 协议 ， 该 方案 使 前 向 保密 0 
消息 传递 , 即 N-RIT。 传 输 层 安全 (transport layer security,TLS) 轮 往返 时 长 密 钥 交换 协议 成 为 了 可 能 ， 有 完全 前 向 安 
办 议 提供 一 个 认证 密 钥 交 换 ， 人 允许 两 个 远程 方 通过 不 安全 的 全 ， 能 够 抵抗 重 放 攻击 。2018 年 ，Derler 和 Jager 等 03] 使 用 


通道 建立 共享 的 会 话 密 钥 。TLS1.2 中 协议 需要 两 次 往返 时 长 Bloom Filter Encryption(BFE) 构 造 了 0-RTT 密 钥 交换 协议 ， 
(2-RTT) 完 成 握手 ， 然 后 才能 发 送 请 求 ;，TLS1.3 四 协议 比 提高 了 计算 效率 ， 并 通过 容忍 一 个 不 可 忽略 的 正确 性 误差 把 
TLS1.2 更 快 更 安全 ,TLS 握手 仅 需要 一 次 往返 时 长 (1-RTT)， 密 钥 的 增长 限制 在 一 个 可 以 容忍 的 限度 内 。 
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录用 定稿 赵 宗 渠 ， 等 : 
随 着 量子 计算 理论 的 发 展 ， 基 于 传统 大 整数 分 解 和 离散 


格 上 具有 完全 前 向 安全 的 0 轮 往返 时 间 密 钥 交 换 协 议 


对 数 困 难 问 题 的 AKE 协议 0 并 不 能 抵抗 量子 攻击 ， 在 后 量 
问题 已 经 可 以 月 
困难 问题 的 公 钥 密码 方案 在 


子 时 代 ， 这 些 方案 所 依赖 的 困难 
多 项 式 时 间 内 解决 ， 而 基于 格 上 


量子 依 法 


在 


量子 理论 下 还 不 存在 多 项 式 时 


间 高 效 求解 算法 ， 同 时 格 上 的 


运算 是 矩阵 向 量 上 的 乘法 ， 具 备 
基于 格 的 密码 学 受到 广泛 关注 ，2009 年 

了 一 个 基于 格 的 CCA(chosen-ciphertext attack 
制 | 9» 


行 计算 、 效 率 高 


的 特点 。 
Katz 等 03] 设 计 
) 安 全 的 加 密 体 


通过 该 加 密 体制 构造 近似 平滑 投射 哈 希 ( approximate 


smooth projection hash,ASPH) 函 数 ， 提 出 第 


个 基于 格 的 


2PAKE(two-party password-based anthenticated key exchange) 


认为 0)。 
1.2 ”安全 模型 


ChinaXiv 合 作 期 刊 
第 38 卷 第 3 期 


在 AKE 协议 可 证 明 安 全 保证 的 研究 方 
RogawayPo0 了 两 人 作出 了 开创 性 的 工作 。 


面 ，Bellare 和 
文献 [20] 提 供 了 适用 


于 分 丰 
理 并 详细 讨 
换 问 题 ， 而 
个 定义 、 协 议和 证 明 ， 目 
本 文采 用 GHJL17 方案 外 中 的 协议 安全 性 分 析 


6 式 环境 的 实体 认证 和 认证 密 钥 分 发 的 第 一 种 形式 化 处 
论 了 对 称 、 双 方 设置 下 的 相互 认证 和 认 i 
且 对 于 每 一 种 情况 都 给 出 了 协议 满足 划 


E 密 钥 交 


标的 


假设 存在 一 个 伪 随 机 函数 。 


1=cUs 表示 系统 中 客 


身份 wel 与 一 个 公 钥 / 私 钥 对 (pk,sh) 相关 联 。 其 中 


异型 ， 用 


每 个 


[uy 


户 端 (C) 和 服务 器 (S) 建 模 的 身份 集 ， 
Ph 公 钥 部 分 


协议 。2011 年 ，Ding 等 9 在 Groce-Katz 框架 171 的 基础 上 结 。“” pk 是 一 次 性 生成 并 固定 的 ， 而 随 着 时 间 的 推移 w% 可 以 被 相 

合 Katz 等 9 提出 的 加 密 体制 和 近似 平滑 投射 哈 希 函数 ， 提 。” 关 参 与 者 的 会 话 修改 。 此 外 ,每 个 身份 在 由 eN 表 示 的 变 

出 了 一 种 基于 格 上 困难 问题 的 高 效 PAKE 协议 ， 并 且 在 标 ; 量 中 保存 局 部 的 当前 时 间 并 初始 化 为 <1。 

模型 下 证 明了 协议 的 安全 性 。2017 年 ，Zhang 等 0 将 拆 分 的 在 安全 模型 中 ,敌手 4 与 多 个 身份 会 话 进行 交互 并 运行 

公 钥 加 密 体制 和 Katz 等 0 的 3 次 通信 框架 相 结 合 ， 提 出 了 ” 前 向 保密 一 次 通过 密 钥 交 换 协 议 。 友 表示 身份 的 第 个 会 

基于 格 上 困难 问题 且 仅 需 两 轮 通信 的 PAKE 协议 ， 提 高 了 通 话 ， 并 与 下 述 每 个 会 话 内 部 状态 变量 有 关联 : 

信 效 率 ， 但 是 方案 中 存在 拆 分 公 钼 加 密 造成 计算 花 销 增加 的 a) roleelcliemserer) 表示 会 话 的 角色 。 分 别 要 求 

不 足 。2019 年 ,李子 臣 等 09] 基 于 环 上 误差 学 习 问 题 设 计 了 一 role=client 和 role= server 当 且 仅 当 xsCc 和 ues 。 

种 后 量子 认证 密 钥 交换 协议 , 在 标准 eCK 模型 下 可 证 明 安 全 b) id el 表示 会 话 的 拥有 者 (例如 拥有 zi)。 

并 达到 弱 的 完全 前 向 安全 。 在 这 些 格 上 AKE 协议 中 , 协商 会 c) pid eIU{4} 表示 预期 的 通信 方 并 被 精确 设置 一 次 。 如 

话 密 钥 需 要 2 轮 或 者 3 轮 通 信 ， 所 需 的 通信 开销 更 多 。 果 roe=sener 设置 pid =L 表示 客户 端 未 通过 身份 验证 。 最 初 ， 
本 文 基于 GHJL17 方案 外 的 设计 思想 构造 了 一 种 新 的 0- 如 果 role=server 还 可 以 设置 pid = 表示 在 协议 中 需要 学 习 的 

RTT 密 钼 交换 协议 。 方 案 的 主要 贡献 有 :1 设计 了 一 种 可 穿 客户 端 身份 。 

透 前 向 保密 密 钥 封装 机 制 实现 穿 透 加 密 和 密 钥 更 新 功能 ， 使 d) trans e{0,1U{ 二 分 别 记录 单一 发 送 和 接受 的 消息 。 


本 文 协议 具有 完全 前 向 安全 性 ; 


2) 基 于 可 穿 透 前 问 


保密 密 钥 


封装 机 制 构造 本 文 协议 ,减少 了 通信 轮 数 ,降低 了 通信 开销 。 


本 文 所 提 协 议 


完全 的 前 向 安全 性 和 抵抗 量子 攻击 、 重 放 


攻击 的 特点 ， 并 且 实 现 了 0 轮 通信 ， 有 更 高 的 通信 效率 。 


1 ”背景 知识 


定义 1 0-RTT 密 钥 交换 。 以 Diffie-Hellman 密 钥 交换 为 
例 , 首先 用 户 从 之 前 的 密 钥 交换 中 获得 服务 器 的 共享 信息 8*， 


然后 选择 指数 x 生成 密 钥 乒 =s* ， 给 服务 器 发 送 
密 过 的 数据 和 g*， 服 务 器 收 到 后 选择 y 生成 密 钥 如 =g*， 


j 密 钥 五 加 
发 


送 用 已 加 密 过 的 数据 和 g? 给 用 


户 , 在 本 次 通信 中 双方 使 用 名 


作为 会 话 密 钥 ， 在 密 钥 协 商 时 同时 发 送 了 加 
换 信 息 ， 称 之 为 0-RTT 密 钥 交换 。 


密 信 息 和 密 钥 交 


定义 2 ” 穿 透 加 密 。 在 一 个 可 穿 透 前 向 多 
案 中 ， 假 设 一 个 服务 器 
息 a 时 ， 其 中 消息 a 中 封装 了 一 个 会 话 密 钥 ， 
密 消 息 


全 密 钥 封装 广 


有 长 期 私 钥 sk， 当 收 到 一 条 密 文 消 


服务 器 用 


Sk 解 


昌 c 并 派生 出 一 个 新 的 私 钥 %。 ， 新 的 私 钥 在 c 时 穿 透 


的 ， 并 且 用 于 解密 除了 ca 之 外 的 所 有 
SK。 


密 文 ， 最 终 服务 器 删除 


1.1 格 的 相关 知识 
定义 3 给 定 m 个 线性 无 关 的 向 量 B=(6,…,b,) eR ， 


格 和 AcR”" 定 义 为 所 


A=L(B) = 人 yx :Xi EZ}o 
=] 


定义 4 q 元 格 ,对 于 整数 g, 满 足 92” < 


{ye2":Ay=0(modg)} 。 


这 些 向 量 的 整 系数 线性 组 合 ， 


。 对 dmeZ， 


定义 5 对 于 任意 *>0， 以 向 量 csR" 为 中心 ,， xe 人, 参 


数 为 ， 在 格 Ac2 上 的 高 斯 
Pielx)=exp(-(zlx—c|)/s’) 。 

定义 6 令 oe=> wp， 对 于 任意 >0 
为 中 心 ， 参 数 为 8 的 格 和 人 A 上 的 离散 高 茎 


分 布 


， 以 向 量 csR" 
1 分布 定义 为 


Dse(y)=pPse(3)/Ppse(A) 。 其 中 ，yeA 。( 若 没有 日 


引用 的 特定 会 话 状态 变量 。 


6) time eN 记录 当 分 别处 理发 送 和 接受 消 


f) key e {0,1} U{1} 


g) Keystate e { fresh, 


始 化 Keystate = fresh 。 


3 
TH 


Ci 
x 


预 


改 、 删 除 或 重新 排序 消息 。 


Ciny 


定义 7 [匹配 会 
满足 以 下 条 件 : 


a) titrans =ziirans 表示 两 个 会 话 共享 同一 个 传输 ; 


b) zi time = zi time 


C) Murole = client A 


d) zt.pid =Aiid 表示 服务 器 会 话 | 


6) tiid=Ai.pidv i.pid=1 表示 客户 端 会 话 属 


期 


伙伴 ， 或 者 服务 器 认为 其 伙伴 未 经 身份 验证 
假设 敌手 4 控制 网 络 ， 负 责 传输 消息 ， 从 i 


息 时 的 时 间 间 隔 。 


是 会 话 中 派生 的 会 话 密 钥 , 用 zkey 表示 


revealed} 表示 会 话 密 钥 是 否 已 被 泄露 , 初 


话 。 两 个 会 话 zw 和 zi 如 果 是 匹配 关系 则 


表示 两 个 会 话 在 同一 个 时 间 间 隔 内 运行 ; 
Ai .role = server 表示 两 个 会 话 以 相反 的 人 


客户 端的 预期 匹配 伙伴 


于 服务 器 的 


允许 任意 修 


协议 和 会 话 交 互 。 


role e {client,server} 和 预期 通 
话 pid -表示 未 经 身份 验证 的 客 


设置 m=L。 


NewSession(u, role, 


已 可 以 通过 以 下 查询 与 密 钥 交换 


pid,m) : 初始 化 新 会 话 身份 ws， 角色 
言 伙伴 pid eTU{L} (其 中 服务 器 会 
户 端 伙伴 )。 如 果 role # server ， 


如 果 role = server 


否则 调用 (sk,,k) < FSOPKE.RunS(sk,, pkya,m) ， 划 


注册 一 个 新 会 


trans=m , time=T,, key 


会 


话 


钥 ， 和 否则 返 下 


当 role=clienf 时 ， 


， 和 否则 返回 了 


Reveal(Xx) : 


， 调 用 (sk,,k,m) < FSOPKE.RanC(sk pkyia) ， 
中 pk, =L。 

话 La 其 中 role=role , id=u , pid= pid ， 
=k 。 


返回 m。 当 


role= server 时 ， 如 果 k=L 返 


如 果 会 话 密 钥 是 派生 的 ， 就 显示 特定 会 话 的 


密 钥 。 如 果 坎 .key 1 ， 设 置 i.keystate <*- revealed 并 返回 密 


Corrupt(u) : 


破坏 身份 ue7 的 长 
每 个 身份 u 中 查询 一 次 ， 


状态 。 此 查询 最 多 可 在 
且 以 后 不 允许 对 会 话 w 进行 进 


录用 定稿 


步 查 询 。 设 Corrupi(w) 为 4 发 出 的 第 “次 查询 ; 设置 so" 6， 
其 中 of” =o 表示 未 损坏 的 身份 。 如 果 出 现 破 坏 则 记录 身份 的 
当前 时 间 5 ， 并 设置 tw” < ， 最 后 返回 sh 。 

Tick(u) : 通过 调用 sh, < FSOPKETimeStep(sk,)，, 将 一 些 身份 
uel 的 状态 一 次 性 转发 。 将 新 时 间 记 录 为 后 +1。 

Test(z;) : 允许 敌手 挑战 派生 的 会 话 密 钥 ， 并且 只 被 询问 
一 次 。 该 预言 在 安全 游戏 中 随机 选择 了 一 个 秘密 比特 
bw e{0,1} 。 如 果 Nikey=L ， 返 回 上 。 设 置 xitime ， 如 果 
br =0， 返回 zkey ,否则 返回 一 个 根据 协议 特定 的 概率 优势 
随机 选择 的 密 钥 。 


2 ” 格 上 具有 前 向 安全 的 0-RTT 密 钥 交换 协议 


为 了 构建 本 文 协 议 ， 首 先 使 用 MP12 陷 门 P0 实 现 了 一 个 
格 上 标准 模型 下 的 基于 SIS 困难 问题 的 一 次 性 签名 技术 (one- 
time signatures, OTSIG)， 接 着 设计 了 一 个 格 上 标准 模型 下 的 
身份 基 分 级 密 钥 封装 机 制 (hierarchical identity-based key 
encapsulation mechanism, HIBKEM)， 然 后 以 上 述 两 个 方案 为 
基础 模块 构造 了 可 穿 透 前 向 保密 密 钥 封装 机 制 (puncturable 
forward-secret key encapsulation mechanism, PFSKEM)， 最 后 
以 可 穿 透 保密 密 钥 封装 机 制 设 计 格 上 前 向 安全 的 0-RTT 
密 钥 交换 协议 ， 协 议 具体 构造 如 下 所 示 。 
2.1 一 次 性 签名 技术 

一 个 一 次 性 签名 技术 OTSIG 由 三 个 概率 多 项 式 时 间 算 
法 组 成 (OTSIG.KGen, OTSIG.Sign, OTSIG.Vfy)。 

OTSIGKGen(1 ): 算法 输入 安全 参数 n， 从 分 布 D 中 选 
择 A4cZWr，ReZww， 让 A=[4|G-AR]。 选 择 和 4 车 ZY* ， 其 中 
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HIBKEM.Decap( MPK,SK,CT ): 输入 主公 钥 MPK ， 陷 门 
和 矩阵 SKs 和 密 文 CT ， 其 中 用 户 身份 ia 的 分 级 深度 为 |id|= 。 
令 高 斯 参数 ==oxzVmxoyiogm ， 做 和 封装 算法 一 样 的 操作 得 到 
用 户 公 钥 矩 阵 如 s 玖 ， 运 行 原 象 采样 算法 e 和 
MP12Sample(A;,SKi,,u, Ti) ， 满足 Ayes =u ， 计算 k'=c0 -ero ED 
其 中 把 x 和 Lg/2] 视 为 Z 中 的 整数 ， 如 果 |k-Lg/12j<Lq/4]， 
输出 1， 否 则 输出 0。 
HIBKEM 正确 性 : HIBKEM 解 封装 正确 性 由 定理 1 刻 


T 


定理 1 HIBKEM 的 解 封装 是 正确 的 , 对 任意 的 id e1D， 
(MPK, MSK) « HIBKEM. KGen(1",1) , SK, ¢« HIBKEM. Del(MPK,SKi,id) 
和 密 钥 ke{0,1} ， 其 中 1D 为 身份 空 闻 ， 有 Pr[Decap(MPK, SK,,， 
Encap(MPK ,id,k))=k]=1-negl(n) 成 立 。 
证 明 HIBKEM 解 封 装 算法 的 输出 为 已 =a-egc = 


I 


urs+x+klg/2|-es(As+y)=u s+xt+k|gq/2|-(Ayea)'s -ehy=k|q/2|+ 


其 中 x-elhy 为 误差 项 ， 其 绝对 值 小 于 915 ， 满 足 
-La/2j|<Lg/4j 输 出 1， 否 则 输出 0 的 设置 ， 定 理 1 成 立 。 

HIBKEM 安全 性 : 在 可 选 则 ID 的 游戏 G88 如 80 中 把 
敌手 4 的 优势 定义 为 AdvA8 和 P12) 二 
下 面 是 挑战 者 C 和 敌手 4 演示 的 身份 基 分 级 密 钥 封装 机 
制 的 可 选 则 ID 的 CPA 安全 实验 Gf% 娩 fF*(n) 。 

a) 4 输入 它 想 要 挑战 的 目标 身份 ia* 。 

b) 挑战 者 生成 系统 参数 和 最 大 分 级 深度 并 计算 
(MPK, MSK) © HIBKEM.KGen(",1) 。C 生成 (gCT*)E HIBKEM .Encap (MPK ,id’) 
和 kek。 然 后 挑战 者 给 4 发 送 (K,,CT',MPK) ， 其 中 eton 。 
c) 4 可 以 查询 HIBKEM.Del 预言 机 。 HIBKEM .Del 预言 机 输 


T 
一 ea ， 


1 
PtGOaBAo0D=D- 


o 


i=0,1,...,4 ， 再 选择 个 向 量 < 2 o 输 出 公 钥 pkor = 
(A, ho,.…, As, 1) ， 私 钥 skor =R 。 
OTSIG.Sign( Skor ， 人 LE {0,1} ): 算法 让 并 =[4 hh + Ziaa MiB] € 


2 ， 其 中 e{0 滑 是 4 的 第 i 个 比特 ， 可 视 为 一 个 整数 。 输 
出 veZ", 向量 v 是 从 Drs(4),s 中 使 用 包含 矩阵 4 的 陷 门 R 的 
算法 SampleR 采样 得 到 ( 它 也 是 4 的 拓展 和 的 一 个 陷 门 )。 


OTSIG.Vfy( pkor, HH, Vv): 算法 让 A, =[41| 4 + Dia HLA]e Ws 


如 果 加 < .wa ，4 = 就 接受 ， 和 否则 拒绝 。 
2.2 分 级 身份 基 密 钥 封装 

一 个 分 级 身份 基 密 钥 封 装机 制 HIBKEM 由 四 个 概率 多 
项 式 算法 构成 (HIBKEM.KGen, HIBKEM.Del, HIBKEM. 
Encap, HIBKEM .Decap)。 

HIBKEM.KGen(1 ，1): 输入 一 个 安全 参数 n 和 最 大 分 
级 深度 dg， 调用 TrapGen(4,8) 算法 生成 一 个 均匀 随机 和 矩阵 
…|aoJeZ™*， 选 
取 n 维 均 匀 随 机 向 量 we 民 ,运行 SampleR(") 算法 , 输出 24 个 
和 矩阵 RoRoBRoR…, RoRieZ” 。 输 出 主公 和 钥 MPK = 
(4h,u,Rio,Rii, Ro, Ry,…,Rao,Ra) 和 主 私 钥 MSK =(7,) 。 假 设 MPK 隐 
式 地 定义 身份 空间 ID 和 密 钥 空间 K。 

HIBKEM.Del( MPK,5K,id ); 输入 主公 钥 MPK ，SKu 表示 
分 级 深度 为 ‘时 用 户 公 钥 矩阵 名 所 对 应 的 陷 门 德 阵 ， 其 中 
全 = 各 (RaDRaiCRa Ze ， 父 用 户 身 份 好 ={002 ,输入 
子 用 户 身份 id=(idlid|…lidlidml…lidi) ， 其 中 E<d 。 令 
R=(CRoasD (Reais) (Re) ， 和 = AaReZ”。 调用 陷 门 派 
生 算 法 得 到 8 = TrapDel(4,R,SKa,0)， 输 出 隐 门 矩阵 SK =5' 。 

HIBKEM.Encap( MPK,id ): 输入 主公 钥 MPK ， 分 级 深度 
为 的 接收 方 用 户 身 份 ia 。 计 算 可 逆 抢 阵 
RB = (Riia JR ) (Rei ) 和 用 一 | 公 钥 矩阵 Ay < 二 4Rae 用 随 
机 选取 密 钥 上 es{0.1 ， 使 用 对 偶 Regev 算法 来 加 密 密 钥 k: 首 
先 选 取 均 匀 随 机 向 量 * 擂 局 ; 然后 选取 容错 值 x 一 一 z 和 容错 
向 量 一 一 2 ; 然后 计算 加 密 密 文 CT=(co=s+X+ 
kLq12],a=As+y)eZsxZ， 输 出 密 文 和 密 钥 (CT,K=h) 。 


T 


各 


出 一 个 请 求 身份 ia 的 私 钥 。 唯 一 的 限制 是 不 允许 敌手 4 向 

HIBKEM .Del 预言 机 查询 ia' 或 者 其 祖先 的 私 钥 。 
d) 最 后 ，4 输出 一 个 猜测 br 。 定 义 事 件 b=b' 表示 

GRR (n) =1 。 
如 果 4dwA2328" ooD 对 所 有 概率 多 项 式 敌 手 4 在 安全 参数 

n 上 是 一 个 可 忽略 的 函数 ， 那 么 一 个 身份 基 分 级 密 钥 封装 机 

制 HIBKEM 是 可 选 则 ID CPA 安全 (IND-sID-CPA)。 

2.3 ”可 穿 透 前 向 保密 密 钥 封 装 

一 个 可 穿 透 前 向 保密 密 钥 封装 机 制 PFSKEM 由 五 个 概 
率 多 项 式 时 间 算 法 组 成 (PFSKEM.KGen,， PFSKEM.Encap， 
PFSKEM.PnctCxt, PFSKEM.Decap, PFSKEM. PnctInt) 。 

PFSKEM.KGen( 1 ): 算 法 输入 安全 参数 nn 生成 (mpk,msg)e 
HIBKEM.KGen(1,1) 并 输出 PK :=MPK 和 SK :=(MSK,e) 。 

PFSKEM.Encap( PK,r): 算法 输入 公 铀 和 时 间 间 隔 * ,入 
成 (krcoryc KGenrdl) 。 然 后 计 算 (cp,K)CHIBKEM. 
Encap(MPK ,rt|| pkor) 和 ee O7SIG(skor,CTmarar) 。 让 
(CTzararo, pkor) ， 输 出 KK 和 CTsrsgem 。 

PFSKEM.PnctCxt( SK,t,CTorsraw ) : 把 CTozsxrem 解析 为 
(CTimsrems0,Pkor) ， 让 了 表示 HIBKEM 树 。 计 算 SK'= 
PunctureTree(T,SK,Tt|| pkor) ， 输 出 新 密 钥 SK' 。 

PFSKEM.Decap( SK,T,CTorsxrer ) 解 密 算法 : 把 CTzrsav 解析 
为 (CTisxrems0,Pkor) 。 如 果 OTSIGWVY(pkor,CTsrem,0)=0 输 出 1。 
否则 : 

a) 如 果 SK 包含 巡 =zlpkor 的 私 钥 sk ， 
KE HIBKEM.Decap (MPK, skia, CTingkem ) 。 

b) 如 果 SK 包含 拥有 标签 id=T|| pkor 的 节点 的 一 个 祖先 


人 人、 $ 
输 出 ke 


| 


CTprsgem = 


就 输 虽 


LE 


车 点 nn ， 就 计 算 wweEHIBKEM.Del(MPK,skid) ， 
HIBKEM .Decap(MPK,, sk, CTisxem ) 。 


c) 否则 输出 上 。 


PFSKEM.PnctInt( SK,z) 下 次 时 间 间 隔 密 钥 更 新 算法 ， 计 
算 SK' = PunctureTree(T,SK,7) 其 中 了 是 HBKEM 树 。 输 出 用 于 


下 次 时 间 间 隔 r+1l 的 新 密 钥 SK' 。 


V1 


202009.00074 


国 
国 
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PFSKEM 正确 性 :对 所 有 的 neN ， 对 任何 
(PK, SK) © PFSKEM .KGen(l") » 时 间 间 隔 TT ， (K,CT*) EPFSKEM .Encap(PK,r") 和 
任意 交叉 序列 i=0,.…,n-1 ， 对 任何 (7,C7T)z(r*,CT*) ， 调 用 
SK'CPFSKEM.PnctCud(SK,t.CT) ， 或 者 对 任何 rzr ， 调 用 
SK'CPFSKEM.PnctImtlSK.r)， 可 以 得 到 PFSKEM .Decap(SK',rt*, CT*)=K 。 

PFSKEM 安全 性 :在 选择 时 间 CCA 游戏 CRUS589 CD 中 ， 
定义 一 个 敌手 4 的 优势 为 4d488OD= 
|Pr[CeSRE8c CD =1]—1/2| 。 

一 个 PFSKEM 方案 安全 可 以 通过 一 个 挑战 者 C 和 一 个 
攻击 者 4 演示 的 选择 时 间 CCA 安全 实验 CURED 来 定义 。 

a) 开始 4 输出 目标 时 间 7*。 

b) 挑战 者 C 生成 一 个 新 鲜 密 钥 对 (PK, SK) © PFSKEM.KGen(1") o 
计算 cr,gD) 乙 PFskEy.Booop(Pkz) 并 选择 如 <ck。 此 外 选择 一 个 比特 
5e(o 然 后 发 送 (PK, CT 应) 给 4。 

c) 4 现在 可 以 进行 多 项 式 次 下 

(a) PFSKEM.Decap( 7,C7 ) : 
Decap(SK,t,C7) ， 返 回 天 给 4。 

(b) PFSKEM.PnctCxt( rzCT7 ): 挑战 者 运行 sx& prskem. 
PnciCxlSK,+,C7) 并 返回 符号 工 。 

(c) PFSKEM.PnctInt(7 ): 挑战 者 运行 sg PFSKEM PnctIni(SK,7D) 
并 返回 符号 T。 
(d) PFSKEM.CorruptO: 挑战 者 中 止 游戏 输出 一 个 随机 比 
特 如 果 4 之 前 没有 查询 过 PFSKEM.PnctCxt(r*,CT*) 或 者 
PFSKEM .Pnctint(r*) 。 否 则 挑战 者 返回 当下 私 钥 SK 给 4。 

d)4 最终 输 出 一 个 猜测 之 。 用 GE82 0D 表示 事件 b=b'。 

如 果 4wA8858 0 在 安全 参数 n 下 对 所 有 概率 多 项 式 时 
间 敌 手 4 是 一 个 可 忽略 的 函数 ， 那 么 一 个 可 穿 透 前 向 保密 密 
钥 封装 机 制 PFSKEM 是 选择 时 间 CCA 安全 (IND-sT-CCA)。 
2.4 协议 描述 

本 文 从 可 穿 透 的 前 向 安全 密 钥 封装 机 制 出 发 构造 了 一 种 
格 上 具有 前 向 安全 的 0-RTT 密 钥 交换 协议 。 协 议 假设 客户 端 
和 服务 器 拥有 一 些 大 致 同步 的 时 间 ， 但 强调 协议 关注 的 是 时 
间 间 隔 而 不 是 确切 的 时 间 ， 如 果 时 间 间 隔 为 一 天 ， 则 对 于 本 
文 的 方案 是 有 效 的 。 
本 文 仅 在 客户 端 侧 针对 服务 器 进行 单 向 认证 ， 客 户 端 不 
能 持 有 长 期 密 钥 材 料 ( 即 客户 端 pk =1 ), 仅 能 使 用 其 密 钥 存 储 
当前 时 间 间 隔 。 协 议 使 用 穿 透 加 密 更 新 机 制 在 时 间 间 隔 结束 
后 或 者 调用 密 钥 更 新 算法 时 更 新 客户 端 和 服务 器 的 公 钥 和 私 
铀 
钼 


四 的 查询 : 
挑战 者 计算 keprskem. 


， 同 时 客户 端 调用 由 一 次 性 签名 和 分 级 身份 基 密 钥 封 装机 
I 构造 得 到 的 可 穿 透 前 向 保密 密 钥 封 装 算法 不 仅 可 以 生成 安 
全 的 会 话 密 钥 和 仅 能 解密 一 次 的 密 文 ， 还 可 以 实现 认证 服务 
器 身份 的 功能 , 保证 了 客户 端的 安全 性 。 协 议 具 体 流 程 如 下 : 
a) 调用 算法 FSOPKE.KGen 为 服务 器 生成 带 有 身份 信息 
的 公 钥 惧 二 CPK,rm) 和 私 钥 sk < 全 (SK,t,twx) ， 为 客户 端 生成 公 
钥 欢 二 L 和 私 铀 欢 二 (z) 。 
b) 客户 端 调用 算法 FSOPKE.RunC， 输 入 客户 端的 私 钥 
和 服务 器 的 公 钥 ， 判 断 条 件 r>5 是 否 成 立 ， 如 果 条 件 成 立 
则 中 止 协议 并 输出 Gk,4, 上 了 ,否则 调用 可 穿 透 前 向 保密 密 钥 封 
装 算法 PFSKEM.Encap ， 算 法 PFSKEM .Encap 生成 一 次 性 签名 算 
法 的 公 钥 pkor 和 私 钥 wor ， 然 后 调用 分 级 身份 基 密 钥 封装 算 
法 HIBKEM .Encap 生成 会 话 密 钥 及 和 密 文 CTparav ， 对 CTmanav 
签名 得 到 o ， 算 法 FSOPKE.RunC 输出 会 话 密 钥 上 二 和 和 密 
文 < CTprsgem =(CTysrews0;pkor) ， 客 户 端 把 密 文 m 发 送 给 服 
务 器 。 
c) 服务 器 收 到 密 文 m 后 调用 算法 FSOPKE.RunS， 输 入 
服务 器 的 私 钥 和 客户 端的 公 钥 以 及 密 文 让， 判断 条 件 SK = 上 
或 r>T% 是 否 成 立 , 条 件 成 立 输 出 (sk, 上 1, 否则 调用 可 穿 透 前 
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用 一 次 性 签名 验 签 算法 07TSIGVA 验证 签名 ， 签 名 成 立 则 调用 
分 级 身份 基 密 钥 解 封装 算法 HIBKEM.Decap 解 封装 得 到 会 话 密 
铀 天。 

定义 8 (FSOPKE, Forward-Secret One-Pass Key 
Exchange) 一 个 支持 tw 时 间 周 期 并 提供 单方 ( 仅 服务 器 ) 身 
份 验证 的 前 向 保密 一 次 通过 密 钥 交 换 (FSOPKE) 协 议 由 以 下 
四 种 概率 算法 组 成 。 
FSOPKE.KGen (mras) 一 (pksb 密 钥 生 成 算法 : 输入 安 
全 参数 n, 一 个 角色 refclient,server} 和 最 大 时 间 周 期 rsN， 
如 果 r=server,， 生成 一 个 公私 钥 对 (PK,SK) < PFSKEM .KGen(1") 。 
让 pk<(PK,Twwx)，T<1 和 sk (SK,T,Ttwwx) ， 输出 (pk,sk) 。 如 果 
r=client， 让 pk<4， Tl1 和 sk<(7)， 输 出 (pk,sk) 。 
FSOPKE.RunC (sk,ph) 忆 (sk',k,m) 客户 端 生成 会 话 密 钥 算 
法 : 输入 客户 端的 私 钥 和 服务 器 的 公 钥 ， 解 析 sk= (7r) 和 
Pk=(PK,Tww) 。 如 果 z>rx ， 那 么 中 止 协议 并 输出 (sk,4, 上 DD ， 
否则 计算 (CT,K) 二 PFSKEM .Encap(PK,7r), 让 kK 和 m<-CT， 
输出 (sk,k,m) 。 
FSOPKE.RungS (sk,pk =1,m) 一 (Csk 服务 器 生成 会 话 密 钥 
算法 : 输入 服务 器 的 私 钥 、 客 户 端 的 公 钥 和 密 文 消息 m， 解 
析 sk=(SK,t,twwa) 。 如 果 SK=L 或 r>ts， 中 止 协 议 并 输出 
(sk,14) 。 计 算 K< PFSKEM.Decap(SK,t,m) ， 如 果 天 =L ， 中 止 协 
议 并 输出 (sk,4) ， 否 则 计算 SK' < PFSKEM .PnctCxt(SK,t,m) 。 让 
< (SK',T,Twwx) 和 Kk<-K， 输 出 (sk,K) 。 

FSOPKE.TimeStep (sk,7) 地 sk' 时 间 间 隔 密 钥 更 新 算法 : 如 
果 r=server 解析 sk(SK,ttww) 。 如 果 rt>75。 让 
sk (DT+lTwa) ,输出 sk ,否则 让 SK' < PFSKEM .PnctInt(SK,7)， 
sk < (SK,T+LTww)， 输 出 sk 。 如 果 r=client 解析 sk=(r)， 让 
sk (T+DD) 输出 sk 。 

0-RTT 密 钥 交换 协议 正确 性 : 协议 正确 性 可 由 底层 的 
PFSKEM 正确 性 得 到 。 
2.5 安全 性 证 明 


Sy 


本 节 给 出 所 设计 的 格 上 具有 前 向 安全 的 0-RIT 密 钥 交换 
协议 的 安全 性 证 明 。 
定理 2 定义 8 中 的 FSOPKE 构造 是 一 个 安全 的 单 边 认 


证 FSOPKE 协议 ， 在 FSOPKE-sec 游戏 中 ， 对 于 任何 有 效 的 
对 手 4， 都 存在 一 个 有 效 的 算法 B， 其 算法 概率 公式 为 : 
ACROSS 万 Ads ， 公 式 中 疡 寺中 是 最 大 
标识 数 ， 而 是 任何 会 话 的 最 大 时 间 间 隔 , n, 是 最 大 会 话 数 。 
证 明 让 4 成 为 一 个 破坏 FSOPKE 安全 的 敌手 并 进行 
一 系列 的 游戏 ， 将 引入 的 差异 限定 在 4 的 每 一 步 的 优势 中 。 
游戏 6G: 这 是 最 初 的 安全 实验 ,敌手 的 优势 
Advo = AdvA RGAE (nN) 。 
游戏 G : 在 这 里 , 让 挑战 者 预先 猜测 一 个 与 公 钥 / 私 钥 对 
(pk*,sk*) 相关 联 的 服务 器 身份 s7 ， 如 果 这 不 是 测试 会 话 中 
所 涉及 的 身份 ， 则 中 止 游戏 。 即 如 果 测 试 了 服务 器 会 话 
(zrole= server )， 挑 战 者 的 猜测 是 会 话 所 有 者 * =z'id ， 而 如 
果 测 试 了 客户 端 会 话 ( zx.role=client )， 则 挑战 者 的 猜测 是 预期 
的 合作 伙伴 ( = 和 .pid )。 让 n 41|, 然后 Advo <nj :Advi 。 
游戏 6,: 现在 4 猜测 时 间 间 隔 =zzare ， 其 中 测试 会 
话 在 运行 中 , 如 果 猜 测 不 对 中 止 游戏 。 让 和 ex 表示 任何 会 话 
的 ztime 最 大 值 ， 它 遵循 Adv < 名 .Adv，。 
游戏 G: 从 GG 开始 , 挑战 者 如 果 没 有 正确 地 猜测 所 涉及 
的 客户 端 会 话 刺 ( 即 ， 坑 .role=client )， 则 遵循 下 面 两 个 条 件 的 
一 个 ; 
a) z=z*， 即 zt 是 被 测试 的 会 话 ， 或 者 
b) 到 与 测试 的 (服务 器 ) 会 话 赤 合作 。 
对 于 条 件 b)， 如 果 测 试 服务 器 会 话 ， 必 须 存 在 这 样 的 合 


向 保密 密 钥 解 封装 算法 PFSKEM.Decap ， 算 法 PFSKEM .Decap 调 


作客 户 端 会 话 zt ， 其 具有 zt.pid=z'id 以 便 4 获胜 。 


202009.00074v1 
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china 


录用 定稿 


用 到 表示 为 会 话 总 数 ， 有 hdv, <n,: Adv 。 
此 外 ， 如 果 测 试 服务 器 会 话 ， 则 会 话 x' 实际 上 必须 是 > 
拥有 的 第 一 个 接受 会 话 ， 该 会 话 与 zt 合作 以 便 4 获胜 。 下 
想 一 下 ,通过 正确 性 ,第 一 个 这 样 的 接受 会 话 派生 密 钥 kX <1 
为 KPFSKEM.Decap(SK*,r"*,m) (其 中 m=x'trans ) 因 此 调用 
SK* <- PFSKEM .PnctCxt(SK’*,Tt*,m) 。 任何 后 来 这 样 的 接受 会 话 将 
丸 此 派生 出 X=L1 ， 通 过 KK PFSKEM .Decap(SK*,T*,m) 得 到 ， 因 
此 敌手 将 被 给 予 上 作为 对 其 Test 查询 的 响应 而 无 法 获胜 。 
游戏 G,: 在 这 个 游戏 中 , 将 在 测试 会 话 zx! 中 派生 的 密 钥 
kK 将 换 为 从 PFSKEM.Decap 的 输出 空间 中 随机 均匀 选择 的 
一 个 。 然 而, 任何 能 区 分 从 G; 到 G: 的 优势 不 可 忽略 的 对 手 都 
可 以 变 成 一 种 算法 B， 它 以 同样 的 优势 在 ch8s8" 中 获胜 。 
在 这 个 归 约 中 , B 首先 输出 6; 中 猜测 的 时 间 间 隔 作为 
它 在 G48rka4% 想 要 挑战 的 时 间 间 隔 。 然 后 ， 它 得 到 一 个 挑战 
公 钥 PK*， 该 公 钥 PK: 与 在 G 中 猜测 的 拥有 pk*=(PK",rtwa) 的 
服务 器 身份 有 关联 。 对 于 所 有 其 他 身份 vs 六 ft") ， 算 法 B 
根据 FSOPKE.KGen 生成 适当 的 公 钥 / 私 钥 对 。 特 别 是 ， 它 为 
所 有 其 他 服务 器 身份 seS\{s*} 生 成 PFSKEM 密 钥 。 此 外 ，B 
获得 一 个 挑战 密 文 CT* 和 密 钥 K*， 其 中 K* 表示 封装 在 CT 中 
的 真实 密 钥 或 者 独立 选择 的 随机 密 钥 。 
让 算法 B 用 这 种 方式 正确 地 为 4 模拟 安全 游戏 ， 如 果 
K* 是 真正 的 密 钥 ， 它 将 完美 地 模拟 6, ， 而 如 果 K* 是 随机 选 
择 的 密 钥 ， 它 将 完美 地 模拟 G6, 。 在 这 个 程度 上 ， 算 法 B 会 使 
用 在 PFSKEM 安全 性 中 给 出 的 选择 ID, 选 择 时 间 CCA 安全 
游戏 中 的 预言 PFSKEM.KGen()， PFSKEM.Decap()， 
PFSKEM .PnctInt() 和 PFSKEM.PnctCxt()， 在 密 钥 交换 游戏 对 
4 的 查询 回答 如 下 所 示 。 
NewSession(u,role, pid,m) ， 该 查询 方法 需要 区 分 以 下 情况 : 
a) 对 于 所 有 客户 端 会 话 到 (xsC )， 除 了 在 G 中 猜测 的 
客户 端 会 话 到 外 ，B 模拟 安全 游戏 中 指定 的 Newsession 查询 。 
b) 对 于 狂 测 的 客户 端 会 话 屎 ，B 不 调用 PFSKEM.Encap， 
而 是 使 用 其 挑战 密 钥 K* 作为 会 话 密 钥 k， 使 用 挑战 密 文 C7* 
作为 输出 消息 m。 通过 G 到 6G,，, 确保 zt 使 用 服务 器 s* 的 时 间 
间隔 ” 和 公 钥 pk* 。 
c) 对 于 G 中 所 有 不 属于 猜测 服务 器 身份 s*( 即 seS\{s*}) 
的 服务 器 会 话 7 ，B 使 用 相应 的 (自己 生成 的 ) 密 钥 % 模拟 指 
定 的 NewSession 查询 。 
d) 对 于 所 有 属于 s* 的 服务 器 会 话 7 ， 但 未 与 猜测 的 客 
户 端 会 话 肥 合作 ，B 根据 预言 PFSKEM.Decap 和 
PFSKEM.PnctCxt 来 模拟 NewSession 查询 的 操作 。 因 为 Tz 和 zt 
不 是 合作 会 话 ( 尽 管 拥 有 相反 的 角色 且 zipi4=s*)， 上 且 
(xitime, mitrans)=(T*, CT*)z#(zitime,Axitrans) ， 所 以 允许 调用 
PFSKEM.Decap 预言 作为 此 处 的 输入 。 
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调用 其 PFSKEM.Corrupt 预言 获取 PFSKEM 密 钥 SK* ， 该 密 钥 


在 sr =(CSK rr) 内 返回 。 


保 B 在 Corrupt 


PFSKEM .PnctInt(T™*) ， 


去 拓 : 


如 果 4 无 丢失 调用 Corrupi(s*) , 确 


(7) 之 前 调 


用 了 PFSKEM.PnctCxt(r*,CT*) 或 者 


因此 在 选择 性 时 间 CCA 安全 游戏 中 不 会 


如 果 z=z 是 一 个 服务 器 会 话 ( 由 s* 拥 有) 


匹配 会 话 的 


条 件 c 确 保 * 只 有 在 x 被 接受 后 才能 被 中 断 ,在 x 接受 过 程 


调用 


中 被 中 断 。 


对 于 任何 其 


Tick(u) : 


Test(z') : 测 


种 情况 下 ， 


那么 匹配 会 话 的 条 从 


的 私 钥 sk, ， 因 此 可 以 
算法 B 
PFSKEM.PnctInt 执行 
PFSKEM 挑战 公 钥 PK* 


中 存在 x'itime=r 和 zitrans=CT* ,因此 在 s* 中断 之 前 , B 必须 
PFSKEM .PnctCxt(r*,CT*) 。 如 果 x'=xt 是 一 个 客户 端 会 话 ， 
F qd 确保 存在 一 个 在 时 间 间 隔 中 处 理 
c7 的 合作 服务 器 会 话 ,或 者 s* 在 时 间 间 隔 rf” > Xtime=T 
因此 ，B 必须 在 ”被 中 断 之 前 分 别 调 用 
PFSKEM .PnctCxt(r*,CT*) 和 PFSKEM .PnctInt(r”) 。 

他 (客户 端 或 服务 器 ) 身 份 uzs* ， 
响应 指定 的 Corrupt 查询 。 


B 维护 相应 


试 会 话 z 


当 4 停止 
己 的 猜测 输出 。 


算法 B 


E 确 回答 4 的 月 


使 用 其 对 于 未 知 私 钥 5SK* 的 预言 
指定 的 时 间 步 进 过 程 ， 该 私 钥 与 
有 关 。 
必须 是 G 中 猜测 的 客户 端 会 话 zi ， 
或 者 是 属于 与 zt 合作 的 站 
痊 出 zx'.key = 天 作为 Test 查询 的 响应 。 
输出 一 个 猜测 be{0,1}, B 也 停止 把 5 作为 


第 一 个 服务 器 会 话 zt ， 在 这 两 


和 有 查询 , 在 K* 是 封装 在 c7 中 的 


真正 密 钥 的 情况 下 , 则 它 完全 模拟 6;, 而 如 果 K* 是 随机 独立 


选择 的 , 则 它 完全 模拟 G6, 。 
戏 的 和 条件， 那么 算法 B 就 会 遵循 在 PFSKEM 安全 性 中 选择 


ID 选择 时 间 CCA 安全 游戏 的 所 有 限制 。 
继承 4 的 输出 时 


当 B 


优势 之 间 的 差异 
种 情况 下 输出 的 


地 预测 b， 

边界 。 

3 ”性 能 分 析 
本 节 从 安全 


提出 的 PAKE 协议 和 


在 G 中 ， 测 试 会 话 中 


概率 差异 


而 且 如 果 4 坚持 FSOPKE 安全 游 


，4 在 G 中 的 优势 与 其 在 G, 中 的 
与 B 在 选择 ID、 选 择 时 间 CCA 安全 实验 两 


关 。 因 此 ， 


Adv < Adv, + AdvBpaa (n) 。 


会 话 密 钥 总 是 随机 均匀 选择 ， 
对 查询 Test 的 响应 与 挑战 位 45 无关 ， 因 此 4 不 能 比 猜测 更 好 
即 4dvw<s0 。 结合 G, 到 G, 中 的 优势 边界 ， 得 出 整体 


性 和 效率 两 
Zhang 等 9 提出 的 PAKE 协议 进行 比 


方面 ， 对 本 文 协议 和 Katz 等 05] 


e) 对 于 * 拥 有 的 第 一 个 服务 器 会 话 7 ， 甚 与 猜测 的 


志 


各 

户 庙会 话 赤 合作 ，B 将 会 话 密 铀 设置 为 挑战 密 铀 ke-_K 并 调 
PFSKEM .PnctCxt(r*,CT*) 。 合 作 意 味 着 zt 与 zt 保持 相同 的 时 

1 


， 并 获得 的 消息 ， 


即 xitime=T = time 和 xitrans = 


日 
Zitrans 。 此 外 , PFSKEM.PnctCxt 不 会 在 (r*,CT*) 之 前 被 调用 。 
正确 性 可 以 得 到 xz 和 zt 建立 了 相同 的 会 话 密 钥 kK* 。 
f) 对 于 与 zt 合作 的 任何 其 他 服务 器 会 话 二，B 设置 
K -1 。 任 何 此 类 会 话 都 将 得 到 Le- PFSKEM .Decap(SK,t*,CT*)， 
丸 为 PFSKEM.PnctCxt 已 经 在 (r*,CT*) 之 前 被 调用 。 
Reveal(z;) : 首先 ， 观察 任 何 获 胜 的 敌手 4 不 能 根据 匹配 
会 话 的 条 件 ajb) 在 会 话 双 和 到 上 公开 , 因为 其 中 一 个 是 测试 
会 话 ， 如 果 存 在 另 一 个 ， 那 么 它 会 与 测试 会 话 合 作 。 
对 于 所 有 其 他 会 话 , B 持 有 上 述 Newsession 查询 中 模拟 得 
到 的 正确 密 钥 ， 因 此 可 以 根据 指定 的 Reveal 查询 进行 响应 。 
Corrupt(u) : 对 于 测试 会 话 x' 中 涉及 的 服务 器 身份 *，B 


较 ， 这 些 协 议 都 是 由 格 上 困难 问题 构造 得 到 。3 中 协议 性 能 
如 表 1 所 示 。 

在 安全 性 方面 ， 协 议 引 入 了 穿 透 加 密 机 制 ， 提 供 了 完全 
前 向 安全 性 , 与 协议 [15][18] 相 比 ， 本 文 协议 可 以 抵抗 重 放 攻 
击 ， 具 有 更 高 的 安全 性 。 在 效率 方面 ， 协 议 由 一 次 性 签名 技 
术 和 分 级 身份 基 密 钥 封 装 构造 得 到 ， 完 成 密 钥 协商 只 需要 1 
轮 通信 。 由 表 1 可 以 看 出 , 与 协议 [15][18] 相 比 ， 本 文 协议 的 
通信 开销 较 小 ， 主 要 由 分 级 身份 基 密 钥 封 装 的 密 文 及 其 签名 
构成 ， 这 使 本 文 协 议 的 通信 效率 提高 。 


表 1 三 种 方案 性 能 比较 
Tab. 1 Performance comparison of three schemes 
i 完全 前 向 通信 轮 、 、 ，。 服务 器 计 用 户 计算 
方案 “类 型 “，， ”,。 通信 开销 ee 
安全 数 算 开 销 开销 
Katz 等 
加 2-party 否 3 2m+4n O(mn) O(mn) 
协议 
Zhang 等 
、 2-party 否 2 4m+2n+l O(mn) O(mn) 
协议 
本 文 协 议 2-party 是 1 2m+1 Olnm) O(nm’) 


录用 定稿 赵 宗 汇 ， 等 : 格 上 具有 完全 前 向 安 
协议 [15] 是 基于 LWE 的 2PAKE 协议 ， 需 要 3 轮 通 信 ， 


通信 代价 由 密 文 、 投 射 密 钥 和 消息 认证 码 决 定 ， 大 小 为 2m， 
通信 开销 比 本 文 多 4n-1。 此 外 ， 本 文 使 用 穿 透 加 密 提供 了 完 
全 前 向 安全 性 。 根 据 分 析 和 表 1 数 本 文 协议 不 仅 具 
有 更 强 的 前 向 安全 性 ， 而 且 通 信 效 率 更 高 。 
协议 [18] 是 基于 格 的 2PAKE 协议 ， 需 要 2 轮 通信 ， 通 信 
代价 主要 取决 于 密 文 和 投射 密 钥 的 
相 比 , 通信 开销 只 在 增加 了 服务 器 计算 开销 和 用 户 计 
和 开销 。 同 时 本 文 协议 仅 需 1 轮 通信 ， 提 供 了 更 强 的 前 向 安 
全 性 。 根 据 分 析 和 表 1 数据 可 得 ， 本 文 协议 通信 效率 更 低 ， 


nis 上 
全 性 更 高 。 


以 上 分 析 结 果 表 明 ， 本 文 构造 的 密 钥 交换 协议 通过 密 钥 
穿 透 更 新 策略 实现 了 完全 前 向 安全 性 ， 可 以 抵抗 重 放 攻 击 、 
量子 攻击 ; 而且 本 文 协 议 在 协商 密 钥 时 只 需要 给 服务 器 发 送 
一 条 包含 加 密 保护 的 有 效 载荷 和 一 条 密 钥 交换 协议 消息 而 不 
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中 


需要 服务 器 回复 从 而 实现 了 0 轮 往 返 时 长 通信 ， 极 大 的 降低 
了 通信 开销 ， 因 此 本 文 协议 具有 可 行 性 。 
4 ”结束 语 


本 文 提出 的 0-RTT 密 钥 交 换 协 议 ， 其 中 一 次 性 签名 技术 
基于 格 上 的 SIS 困难 问题 ， 身 份 基 分 级 密 钥 封装 机 制 基于 格 
上 的 LWE 困难 问题 , 在 后 量子 时 代 具 有 重要 意义 。 设 计 的 0- 
RTT 密 钥 交换 协议 仅 需要 服务 器 认证 ， 把 会 话 密 钥 和 传递 的 
消息 一 起 发 送 给 服务 器 从 而 实现 了 0 轮 通信 的 效果 。 协 议 可 
以 有 效 抵抗 量子 攻击 和 重 放 攻击 ， 提 高 了 应 用 安全 性 ， 同 时 
给 出 了 在 标准 模型 下 严格 的 安全 性 证 明 。 协 议 因 为 安全 性 和 
部 署 参数 在 执行 穿 透 操作 更 新 密 钥 时 可 能 要 花费 较 多 的 时 间 


但 可 以 通过 进行 少量 的 有 效 计 算 和 删除 二 叉 树 中 的 部 分 私 钥 


来 优化 穿 透 操作 降低 耗 时 。 
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